Aktuelles 6 Min. Lesezeit

NIS-2 Fristen 2025/2026: Wichtige Termine im Überblick

Alle wichtigen NIS-2-Fristen und Termine auf einen Blick: Wann das Gesetz gilt, wann die Registrierung erfolgen muss und was bei Vorfällen zu beachten ist.

NIS-2 Redaktion

Die Uhr läuft. Das deutsche NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Ohne Übergangsfrist. Dieser Artikel listet alle Fristen auf, die Sie kennen müssen – und erklärt, was passiert, wenn Sie sie verpassen.

Was bereits passiert ist

Die NIS-2-Richtlinie wurde am 14. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten hatten bis Oktober 2024 Zeit für die nationale Umsetzung – Deutschland hat diese Frist gerissen, wie einige andere auch.

In Deutschland lief es so: Kabinettsbeschluss im Juli 2024, Bundestag im November 2025, Bundesrat kurz darauf, Veröffentlichung im Bundesgesetzblatt am 5. Dezember 2025. Und am 6. Dezember 2025 war es dann soweit: Das Gesetz gilt.

Das BSI-Portal für die Registrierung wurde am 6. Januar 2026 freigeschaltet. Die Registrierungsfrist – drei Monate nach Inkrafttreten – endet im März 2026.

Die Fristen, die jetzt laufen

Registrierung beim BSI

Sie haben drei Monate Zeit nach Inkrafttreten des Gesetzes. Das Gesetz trat am 6. Dezember 2025 in Kraft, also muss die Registrierung bis etwa März 2026 erfolgen.

Wenn Sie die Schwellenwerte erst später überschreiten – durch Wachstum, Übernahmen, Geschäftserweiterung – haben Sie ab diesem Zeitpunkt drei Monate.

Meldepflichten bei Vorfällen

Das sind die Fristen, die im Ernstfall zählen:

24 Stunden: Nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung ans BSI raus.

72 Stunden: Die ausführliche Meldung – eine Aktualisierung der Frühwarnung mit erster Bewertung.

1 Monat: Der Abschlussbericht. Bei andauernden Vorfällen gibt es nach einem Monat einen Zwischenbericht, der Abschluss kommt dann nach Beendigung des Vorfalls.

Datenaktualisierung

Wenn sich etwas ändert – Unternehmensdaten, Ansprechpersonen, Einstufung – müssen Sie das dem BSI unverzüglich mitteilen. Mindestens jährlich sollten Sie überprüfen, ob noch alles stimmt.

Wie das bei einem Vorfall aussieht

Stellen Sie sich vor: Montagmorgen um 10 Uhr entdecken Sie einen Ransomware-Angriff.

Dienstag 10 Uhr: Die 24-Stunden-Frist für die Frühwarnung läuft ab. Die Meldung muss raus, auch wenn Sie noch nicht alles wissen.

Donnerstag 10 Uhr: Die 72-Stunden-Frist für die ausführliche Meldung läuft ab. Jetzt müssen Sie mehr Details liefern.

Falls personenbezogene Daten betroffen sind: Auch die DSGVO-Meldung an die Datenschutzbehörde muss bis Donnerstag 10 Uhr raus.

Ein Monat später: Der Abschlussbericht ist fällig.

Das ist ambitioniert. Vor allem die 24-Stunden-Frist. Sie haben nicht viel Zeit zum Überlegen – Sie müssen handeln.

Was “Kenntnisnahme” bedeutet

Die Frist beginnt, wenn eine verantwortliche Person im Unternehmen vom Vorfall erfährt. Das kann der IT-Administrator sein, der den Angriff bemerkt. Der Helpdesk, der ungewöhnliche Meldungen bekommt. Der Geschäftsführer, der informiert wird.

Wichtig: Nicht erst wenn Sie alle Details haben. Sondern wenn der Verdacht besteht. Warten Sie nicht, bis Sie alles verstanden haben – dann ist die Frist möglicherweise schon abgelaufen.

Was passiert, wenn Sie Fristen verpassen

Verspätete Registrierung: Ordnungswidrigkeit, Bußgeld möglich, erhöhte Aufmerksamkeit bei späteren Prüfungen.

Verspätete Vorfallsmeldung: Ordnungswidrigkeit, Bußgeld möglich, erschwerter Nachweis der Compliance, mögliche Probleme mit der Cyberversicherung.

Unterlassene Meldung: Schwerer Verstoß, höheres Bußgeld, mögliche persönliche Haftung der Geschäftsleitung.

Das BSI wird vermutlich nicht jeden Tag bei jedem Unternehmen vorbeischauen. Aber wenn etwas passiert, wenn es eine Prüfung gibt, wenn Sie in den Fokus geraten – dann werden diese Dinge wichtig.

Wie Sie die Fristen einhalten

Für die Registrierung: Fangen Sie jetzt an. Richten Sie den MUK-Account ein, sammeln Sie die erforderlichen Daten, warten Sie nicht bis zur letzten Woche. Die MUK-Registrierung braucht Zeit.

Für Vorfallsmeldungen: Definieren Sie vorher, wer was wann macht. Erstellen Sie Meldevorlagen. Stellen Sie 24/7-Erreichbarkeit sicher – Ransomware kommt gerne am Freitagabend. Legen Sie Eskalationswege fest.

Für laufende Pflichten: Führen Sie einen Kalender mit wiederkehrenden Aufgaben. Benennen Sie Verantwortliche. Dokumentieren Sie alles. Planen Sie regelmäßige Review-Termine.

Ihre Checkliste

Sofort erledigen:

  • MUK-Account einrichten
  • Betroffenheitsprüfung abschließen
  • Verantwortlichkeiten klären

Bis März 2026:

  • BSI-Registrierung durchführen
  • Ansprechpersonen benennen
  • Meldeprozesse etablieren

Laufend:

  • Bei Vorfällen die 24/72-Stunden-Fristen einhalten
  • Registrierung bei Änderungen aktualisieren
  • Jährliche Reviews und Schulungen durchführen

Der Punkt

Die NIS-2-Fristen sind verbindlich. Besonders kritisch: Die Registrierungsfrist von drei Monaten. Die 24-Stunden-Frist für die Frühwarnung. Die 72-Stunden-Frist für die ausführliche Meldung.

Planen Sie das in Ihre Prozesse ein. Und vergessen Sie nicht: Ein Cyberangriff richtet sich nicht nach Bürozeiten. Die Meldefristen laufen auch am Wochenende und an Feiertagen. Sie müssen handlungsfähig sein, wenn es passiert – nicht erst am nächsten Werktag.

Schlagworte

NIS-2 Fristen Termine Timeline Compliance

War dieser Artikel hilfreich?

Prüfen Sie jetzt kostenlos, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist.

Zum Quick-Check Beratung anfragen
← Zurück zur Übersicht